Реестр угроз

В сервисе под угрозами понимаются любое негативное событие, которое могут нанести ущерб организации.
Угрозы не описывают как конкретно может произойти негативное событие, за это отвечают уязвимости в активах.
В контексте рисков безопасности угроза - это негативное событие, использующее уязвимость в типе актива для нанесения ущерба организации.

Классификация

Угрозы можно классифицировать 2 способами – по нарушаемому свойству информации (КЦД + дополнительные свойства) и по модели STRIDE, также отдельными типами выделены угрозы несанкционированного доступа (НСД).

Классификация угроз по нарушаемому свойству информации (триада КЦД):

Конфиденциальность / confidentiality - cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
Целостность / integrity - свойство сохранения правильности и полноты активов.
Доступность / availability - Cвойство актива быть доступным и готовым к использованию по запросу авторизованного субъекта
+ дополнительные свойства:
Неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.
аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

Классификация угроз по модели STRIDE это модель классификации типов угроз разработанная Microsoft (подробнее), которая включает следующие типы угроз:

Подмена пользователя / Спуфинг / Spoofing of user identity – незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование.
Защищаемое свойство - аутентичность/аутентификация.
Искажение / Незаконное изменение / Tampering – вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их передачи.
Защищаемое свойство – целостность.
Отрицание / Repudiation – сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного положения и легального доступа к информационным активам для совершения незаконных, мошеннических действий.
Защищаемое свойство – неотказуемость.
Раскрытие информации / Information disclosure –раскрытие сведений лицам которые к этой информации не должны иметь доступа.
Защищаемое свойство – конфиденциальность.
Отказ в обслуживании / Denial of service – выход из строя активов или нарушение их работоспособности приводящее к невозможности их использования.
Защищаемое свойство – доступность.
Повышение привилегий / Elevation of privilege – предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов.
Защищаемое свойство – авторизация.

Отдельно выделена возможность классификации угроз несанкционированного доступа.
Несанкционированный доступ к информации (НСД, Unauthorized access to information) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Цепочки угроз

Реализация одних угроз может являться предпосылкой для реализации других. Например, угроза несанкционированного доступа в серверное помещение ведет к возможной реализации угрозы несанкционированного физического доступа к серверному оборудованию, далее доступа к жестким дискам и компрометации защищаемой информации.
Аналогом в Методике ФСТЭК по моделированию угроз являются сценарии реализации угроз. Аналогом в методиках Mitre являются процедуры. Также аналогом являются понятия Cyber-Kill Chain или просто Kill Chain.
В начале цепочек чаще всего фигурируют низкоуровневые, технические угрозы, а к концу цепочек ключевые угрозы (негативные последствия), понятные руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства).
Составление подобных цепочек угроз позволяет лучше понимать векторы атак и рассчитывать риски безопасности. В сервисе реализована возможность настройки связей между различными угрозами в виде предпосылки/следствия, функционал доступен в карточках редактирования угроз.

Ключевые угрозы (негативные последствия)

Ключевая угроза это высокоуровневая, бизнес угроза. Ключевые угрозы часто являются конечными в цепочках угроз, к их реализации приводят более низкоуровневые, технические угрозы.
В отношении ключевых угроз возможный ущерб конкретен и понятен руководству компании и бизнес-подразделениям (например, нарушение законодательства по персональным данным, утечка коммерческой тайны, остановка производства) в отличие от более низкоуровневых угроз, реализация которых сама по себе не наносит ущерба (например: заражение ВПО, несанкционированный доступ к ПК), а лишь может привести к реализации других, ключевых угроз.
Если низкоуровневые, технические угрозы оцениваются профильными специалистами по информационной безопасности то ущерб от ключевых угроз подлежит оценке со стороны руководства компании и бизнес-подразделений.
Ключевая угроза в Сервисе соответствует понятию негативное последствие, определенному в Методике моделирования угроз ФСТЭК:

К негативным последствиям от реализации угроз безопасности относятся событие или группа событий, наступление которых в результате успешной реализации угроз безопасности может привести к нарушению законодательства Российской Федерации и (или) социальному, экономическому (финансовому), политическому, технологическому, экологическому ущербу, ущербу в области обеспечения обороны страны, безопасности государства и правопорядка, ущербу репутации или иным негативным последствиям, установленным законодательством Российской Федерации или определенным по результатам проведенной оценки ущерба (рисков).

Для того чтобы выделить угрозу как ключевую в карточке угрозы есть соответствующая опция - Ключевая угроза.

Оценка угроз

У угроз в сервисе есть качественный оценочный параметр Величина угрозы, который определяется на уровне угрозы (базовое значение) и может быть переопределен на уровне конкретных рисков, включающих эту угрозу. Величина угрозы: отсутствует, низкая, средняя, высокая, критическая. Величина угрозы используется в оценке рисков безопасности.
На базе угроз формируются риски, которые в свою очередь могут быть оценены и рассчитаны с учетом влияния защитных мер, как следствие становится возможным оценка непосредственно угроз через риски, которые они образуют. Оценка связанных с угрозами рисков приведена в реестре угроз.

Источники угрозы

Для угроз и, как следствие, рисков безопасности реализована возможность определения одного или нескольких источников угрозы:

Внешний нарушитель
Находящийся вне информационной системы нарушитель. Внешний нарушитель находится во вне системы в начале атаки и в случае ее успешной реализации проникает в информационную систему, при этом не являясь ее легальным пользователем. После авторизации в информационной системе внешний нарушитель может рассматриваться как внутренний.
Внутренний нарушитель
В отличии от внешнего нарушителя внутренний уже в начале реализации атаки или иной угрозы обладает правами и полномочиями в информационной системе.
Техногенный источник
Техника и иные результаты труда человека, провоцирующие возникновение угроз в результате выхода из строя своих компонентов, нештатного функционирования или в целом самого факта своего существования.
Стихийный источник
Различные природные происшествия и катаклизмы, такие как землетрясения, наводнения и пожары, а также в целом любые происшествия, которые нельзя явно отнести к техногенным источникам.

Для внешних и внутренних нарушителей возможно определение потенциала: низкий, средний, высокий.

Низкий потенциал подразумевает наличие возможностей уровня одного человека по приобретению (в свободном доступе на бесплатной или платной основе) и использованию специальных средств эксплуатации уязвимостей.
Средний потенциал подразумевает наличие возможностей уровня группы лиц/организации по разработке и использованию специальных средств эксплуатации уязвимостей.
Высокий потенциал подразумевает наличие возможностей уровня предприятия/группы предприятий/государства по разработке и использованию специальных средств эксплуатации уязвимостей.

Определения угрозы

Существуют различные определения угроз безопасности:

угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.

ГОСТ Р ИСО/МЭК 27002-2012

угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

ГОСТ Р 50.1.056-2005, Методический документ ФСТЭК России от 05.02.2021 "Методика оценки угроз безопасности информации"

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России

угроза (threat): Потенциальный источник опасности, вреда и т.д.

ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Риск

Данные отсутствуют

Авторизуйтесь

Название	Дата	Связи
Высокий ущерб от инцидентов безопасности Источник: Внешний \| Внутренний 01.03.2023	01.03.2023	1
Утечка коммерческой тайны Конфиденциальность Раскрытие информации Источник: Внешний \| Внутренний 25.02.2023	25.02.2023
Нарушение требований законодательства в области КИИ Право 06.02.2023	06.02.2023	1
Высокие затраты на обеспечение информационной безопасности Финансы Источник: Внутренний 03.08.2022	03.08.2022	1
Недоступность облачных сервисов Доступность Отказ в обслуживании Источник: Внешний \| Внутренний 22.03.2022	22.03.2022	1
Потеря доступа в Интернет Доступность Отказ в обслуживании Источник: Стихийный \| Техногенный 03.03.2022	03.03.2022	1
Экономические санкции Финансы Право Репутация Источник: Внешний 28.02.2022	28.02.2022	1
Прекращение работы средства защиты информации Доступность Отказ в обслуживании Источник: Внешний 28.02.2022	28.02.2022	2
Нарушение законодательства в области критической информационной инфраструктуры Финансы Право Репутация Источник: Внутренний 29.12.2021	29.12.2021	1
Неработоспособность информационной системы Доступность Отказ в обслуживании Источник: Внешний \| Внутренний 23.11.2021	23.11.2021	1